<![CDATA[พบช่องโหว่ใน Windows Netlogon ถูกนำมาใช้โจมตีจริงแล้ว ควรเร่งติดตั้งแพตช์ทันที]]>ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานผู้ไม่หวังดีกำลังใช้ช่องโหว่ระดับวิกฤต หมายเลข CVE-2026-41089 ใน Windows Netlogon ทำการโจมตีระบบอย่างต่อเนื่อง (Active Exploitation) เหตุการณ์นี้ส่งผลให้เกิดความเสี่ยงขั้นสูง เนื่องจากผู้โจมตีสามารถยึดครองระบบ Active Directory ได้ทั้งหมดโดยไม่ต้องมีรหัสผ่าน ผลกระทบโดยตรงจะเกิดกับทุกองค์กรที่มีการใช้งาน Windows Server เป็น Domain Controller และยังไม่ได้ทำการอัปเดตแพตช์รักษาความปลอดภัย [1]

  1. รายละเอียดของภัยคุกคาม [2]
    ช่องโหว่ CVE-2026-41089 มีระดับความรุนแรงตามมาตรฐาน CVSS v3.1 ที่คะแนน 9.8 ซึ่งเป็นช่องโหว่ Remote Code Execution (RCE) ที่เกิดจากข้อผิดพลาดประเภทหน่วยความจำล้น (Stack-based Buffer Overflow) ในบริการ Netlogon ซึ่งทำหน้าที่สำคัญในการพิสูจน์ตัวตนและการสื่อสารระหว่างเครื่องลูกข่ายกับ Domain Controller ภายในระบบ Active Directory ขององค์กร

ทั้งนี้ หน่วยงานสามารถตรวจสอบข้อมูลเพิ่มเติมได้ที่ https://dg.th/x7al8id2ft

  1. พฤติกรรมการโจมตี
    ผู้โจมตีสามารถเจาะระบบได้โดยการส่งคำขอเครือข่ายที่ถูกสร้างขึ้นมาเป็นพิเศษ (Specially Crafted Network Request)ไปยังบริการ Netlogon บนระบบ Windows Server ที่ทำหน้าที่เป็น Domain Controller เพื่อกระตุ้นให้เกิดข้อผิดพลาดในการประมวลผลข้อมูล ส่งผลให้เกิดช่องโหว่ประเภท Buffer Overflow ภายในหน่วยความจำของระบบ โดยไม่ต้องใช้บัญชีผู้ใช้งานหรือสิทธิ์การเข้าถึงใด ๆ ภายในระบบ หากเจาะระบบสำเร็จ ผู้โจมตีจะสามารถสั่งรันโค้ดอัตรายที่สร้างขึ้นเอง (Arbitrary Code Execution) ด้วยสิทธิ์ของระบบบน Domain Controller ส่งผลให้สามารถเข้าควบคุมโดเมน ยกระดับสิทธิ์บัญชีผู้ใช้งาน ขโมยหรือทำลายข้อมูลสำคัญ รวมถึงสามารถติดตั้งมัลแวร์ เพื่อขยายผลการโจมตีไปยังระบบอื่น ๆ ภายในเครือข่ายขององค์กรได้

  2. ผลกระทบที่อาจเกิดขึ้น
    3.1 ผู้โจมตีสามารถรันคำสั่งหรือโปรแกรมบนเครื่อง Domain Controller ได้
    3.2 ได้รับสิทธิ์ระดับ SYSTEM ซึ่งเป็นสิทธิ์สูงสุดของระบบปฏิบัติการ Windows Server
    3.3 เข้าถึง แก้ไข หรือทำลายข้อมูลสำคัญขององค์กร
    3.4 ยึดครอง Active Directory และบัญชีผู้ใช้งานภายในโดเมน
    3.5 ติดตั้งมัลแวร์ หรือ Backdoor เพิ่มเติม

  3. แนวทางการป้องกันและลดความเสี่ยง
    4.1 ติดตั้งแพตช์ความปลอดภัยจาก Microsoft
    4.2 ตรวจสอบ Domain Controller ภายในองค์กร
    4.3 จำกัดการเข้าถึงบริการ Netlogon

5.มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
5.1 จำกัดการเข้าถึง Domain Controller เช่น ปิดกั้นการเข้าถึงจากเครือข่ายที่ไม่เกี่ยวข้อง เป็นต้น
5.2 แยก Domain Controller ออกจากเครือข่ายผู้ใช้งานทั่วไป
5.3 จำกัดการสื่อสารระหว่าง VLAN หรือ Security Zone เฉพาะที่จำเป็น
5.4 จำกัดและตรวจสอบบัญชีสิทธิ์สูง เช่น ลดจำนวนผู้ใช้งานที่มีสิทธิ์ระดับสูงให้น้อยที่สุด, เปิดใช้งาน Multi-Factor Authentication (MFA) เป็นต้น
Windows Netlogon.png
แหล่งอ้างอิง
[1] https://dg.th/h6439ag50y
[2] https://dg.th/e7op9w6z8k

]]>https://webboard-nsoc.ncsa.or.th/topic/2943/พบช-องโหว-ใน-windows-netlogon-ถ-กนำมาใช-โจมต-จร-งแล-ว-ควรเร-งต-ดต-งแพตช-ท-นทRSS for NodeTue, 02 Jun 2026 15:19:55 GMTTue, 02 Jun 2026 10:20:56 GMT60